クッキーについて

クッキーと言っても、お菓子ではない。

6月に施行される「改正電気通信事業法」において、事業者がクッキーなどを使ってサイトやアプリを閲覧する利用者の情報を把握し、外部の広告企業などに送信する行為が規制されることになるのだ。

＜適用対象の事業者は①閲覧サイトのURLなど、外部に送信される「利用者に関する情報」の内容②情報の送信先となる事業者名③「広告配信」など、送信される情報の利用目的――の3つについて、「通知または公表」などの措置をとる義務がある。＞という。

従来は、わりと無頓着に行われていたことが規制の対象になることから、「わが社は大丈夫か」ということで、あちこちの会社が戸惑っているというのが実態のようである。

というのも、これまでならば、通信会社などを除く幅広い業種を多くの部分で「適用除外」となっていたのが、新規制は同法に基づく「第三号事業者」として、従来は適用除外だった企業にも適用されることになるからである。

＜対象の事業者はSNS（交流サイト）やオンラインショッピングモールなど4類型がある。なかでも「オンライン情報提供サービス」に該当するかの線引きが難しい。＞

＜オンラインの情報提供でも、自社情報の掲載やECサイトでの商品販売など「本来業務の遂行手段」なら対象外。ただ「その範囲を超え、独立した事業としている場合は対象になりうる」（大井哲也弁護士）という。＞

要するに、法律の定義が曖昧だから判断が難しいのだ。したがって、よくわからなくて迷うケースにおいては、用心して対応するしかないということになる。

で、対応をするとなった場合も、いろいろと厄介らしい。＜サイト構築や運用を外部委託していて、自社サイトでどんなクッキーを使っているか把握できていない＞とか、＜歴代担当者が様々なクッキーを使い不要になっても放置されている例も多い＞からである。

さらに、＜企業内の組織連携の課題も出てくる。クッキーの利用状況を把握した上で通知などを進めるには、法務部門だけでなくサイトなどの開発、運用に携わる事業部門との連携が欠かせない。＞ということで、システム部門と法務部門との連携が重要となる。

こういうことになる背景としては、クッキーを個人データとして厳しい保護を求める欧州の考え方の影響がある。

日本の個人情報保護法では、クッキー情報単体では個人情報に含まないとされていた。しかしながら、22年4月の法改正で限定的な規制を導入して、第三者提供に関わる一部の場面について、クッキー情報も保護対象とした。

たしかにクッキーはウェブサイトの閲覧履歴等を記録しているので、クッキーを分析すれば本人でも知らない趣味嗜好が浮き彫りになるかもしれない。となると、かなりデリケートな個人情報と言っても過言ではない。

＜欧州ではクッキー単体も個人データとされ、企業がデータを扱う際には本人同意の取得が求められる。＞＜米国でもカリフォルニア州法は、ターゲティング広告を利用者が拒否できる機会を提供する「オプトアウト」を義務付ける。＞とあるのに対して、＜日本は改正電気通信事業法でクッキー規制を強化。海外とのルール差が縮まった。＞ものの、＜本人同意の取得などまでは義務付けず「通知または公表」を選べる緩やかな内容＞となっている。まだ欧米との乖離はありそうである。

個人情報やプライバシーに関する認識は、世の中のトレンドとしては厳格化される方向にあるので、いずれ日本国内の規制も欧米の方に寄せることになるのだろう。

となれば、今のうちから厳格化を想定しつつ、欧米ルールに自主的に対応するとか、少なくとも対応準備くらいは進めておく方が企業の法務部門としては正しいあり方と言えそうである。

閲覧履歴、多難な新規制　「我が社は対象？」戸惑う企業 - 日本経済新聞

TMI系、クッキー規制への対応　ワンストップで提供 - 日本経済新聞

顧客データ政府規制、日本企業の6割が懸念　民間調査 - 日本経済新聞

Google、アプリ情報の広告利用制限　新技術を試験提供 - 日本経済新聞